Un ciberataque (o ataque cibernético) ocurre cuando hay una acción no autorizada contra la infraestructura informática que compromete la confidencialidad, integridad o disponibilidad de su contenido.
La creciente dependencia de sistemas informáticos cada vez más complejos e interconectados en la mayoría de los ámbitos de la vida es el principal factor que provoca vulnerabilidad a los ciberataques, ya que prácticamente todos los sistemas informáticos tienen fallos que pueden ser explotados por los atacantes. Aunque es imposible o poco práctico crear un sistema perfectamente seguro, existen muchos mecanismos de defensa que pueden hacer que un sistema sea más difícil de atacar.
Los perpetradores de un ciberataque pueden ser delincuentes, hacktivistas o estados. Intentan encontrar debilidades en un sistema, explotarlas y crear malware para llevar a cabo sus objetivos y distribuirlo al sistema atacado. Una vez instalado, el malware puede tener diversos efectos según su propósito. La detección de ciberataques suele ser inexistente o tardía, especialmente cuando el malware intenta espiar el sistema sin ser detectado. Si se descubre, la organización atacada puede intentar recopilar evidencia sobre el ataque, eliminar el malware de sus sistemas y cerrar la vulnerabilidad que permitió el ataque.
Los ciberataques pueden causar diversos daños a personas, organizaciones y gobiernos, incluidas pérdidas financieras significativas y robo de identidad . Suelen ser ilegales como método delictivo y de guerra , aunque atribuir el ataque correctamente es difícil y rara vez se procesa a los perpetradores.
Un ciberataque puede definirse como cualquier intento por parte de un individuo u organización de "utilizar una o más computadoras y sistemas informáticos para robar, exponer, cambiar, deshabilitar o eliminar información, o para violar los sistemas de información informática, las redes informáticas y las infraestructuras informáticas". [1] Las definiciones difieren en cuanto al tipo de compromiso requerido: por ejemplo, exigir que el sistema produzca respuestas inesperadas o cause lesiones o daños a la propiedad. [2] Algunas definiciones excluyen los ataques llevados a cabo por actores no estatales y otras requieren que el objetivo sea un estado. [3] Mantener un sistema seguro se basa en mantener la tríada CIA : confidencialidad (sin acceso no autorizado), integridad (sin modificaciones no autorizadas) y disponibilidad. [4] Aunque la disponibilidad es menos importante para algunos servicios basados en la web, puede ser el aspecto más crucial para los sistemas industriales. [5]
En los primeros seis meses de 2017, dos mil millones de registros de datos fueron robados o afectados por ataques cibernéticos, y los pagos de ransomware alcanzaron los 2 mil millones de dólares , el doble que en 2016. [6] En 2020, con el aumento del trabajo remoto como efecto de la pandemia mundial de COVID-19, las estadísticas de ciberseguridad revelan un enorme aumento en los datos pirateados y violados. [7] Se prevé que el mercado mundial de seguridad de la información alcance los 170.4 mil millones de dólares en 2022. [8]
Con el tiempo, los sistemas informáticos constituyen una parte cada vez mayor de la vida y las interacciones cotidianas. Si bien la creciente complejidad y conectividad de los sistemas aumenta la eficiencia, la potencia y la comodidad de la tecnología informática, también los vuelve más vulnerables a los ataques y empeora las consecuencias de un ataque, en caso de que ocurra. [9]
A pesar del objetivo de los desarrolladores de entregar un producto que funcione completamente como se esperaba, prácticamente todo el software y hardware contiene errores. [10] Si un error crea un riesgo de seguridad, se denomina vulnerabilidad . [11] [12] [13] A menudo se lanzan parches para corregir las vulnerabilidades identificadas, pero las que permanecen desconocidas ( días cero ), así como las que no han sido parcheadas, siguen siendo responsables de la explotación. [14] El proveedor de software no es legalmente responsable del costo si se utiliza una vulnerabilidad en un ataque, lo que crea un incentivo para fabricar software más barato pero menos seguro. [15] Las vulnerabilidades varían en su capacidad de ser explotadas por actores maliciosos. Las más valiosas permiten al atacante inyectar y ejecutar su propio código (llamado malware ), sin que el usuario sea consciente de ello. [11] Sin una vulnerabilidad que permita el acceso, el atacante no puede obtener acceso al sistema. [16]
Las decisiones de diseño y arquitectura de un sistema juegan un papel importante a la hora de determinar qué tan seguro puede ser. [17] El enfoque tradicional para mejorar la seguridad es la detección de sistemas vulnerables a ataques y el endurecimiento de estos sistemas para dificultar los ataques, pero solo es parcialmente eficaz. [18] La evaluación formal de riesgos de vulneración de sistemas altamente complejos e interconectados es poco práctica [19] y la pregunta relacionada de cuánto gastar en seguridad es difícil de responder. [20] Debido a la naturaleza siempre cambiante e incierta de las ciberamenazas, la evaluación de riesgos puede producir escenarios que son costosos o inasequibles de mitigar. [21] A partir de 2019 [actualizar], no existen sistemas de defensa activa ampliamente utilizados y disponibles comercialmente para proteger los sistemas aumentando intencionalmente la complejidad o variabilidad de los sistemas para dificultar los ataques. [22] El enfoque de ciberresiliencia , por otro lado, supone que se producirán infracciones y se centra en proteger la funcionalidad esencial incluso si se comprometen partes, utilizando enfoques como la microsegmentación , la confianza cero y la planificación de la continuidad del negocio . [23]
La mayoría de los ataques se pueden prevenir si se garantiza que todo el software esté completamente parcheado. Sin embargo, los sistemas con todos los parches son vulnerables a ataques mediante vulnerabilidades de día cero . [24] El mayor riesgo de ataque ocurre justo después de que se haya divulgado públicamente una vulnerabilidad o se haya publicado un parche, porque los atacantes pueden crear ataques más rápido de lo que se puede desarrollar e implementar un parche. [25]
Las soluciones de software tienen como objetivo evitar el acceso no autorizado y detectar la intrusión de software malicioso. [26] La formación de los usuarios puede evitar los ciberataques (por ejemplo, no hacer clic en un enlace sospechoso o en un archivo adjunto de correo electrónico), especialmente aquellos que dependen de un error del usuario. [4] [27] Sin embargo, demasiadas reglas pueden hacer que los empleados las ignoren, anulando así cualquier mejora de la seguridad. Algunos ataques internos también se pueden prevenir mediante el uso de reglas y procedimientos. [27] Las soluciones técnicas pueden prevenir muchas causas de error humano que dejan los datos vulnerables a los atacantes, como cifrar todos los datos confidenciales, evitar que los empleados utilicen contraseñas inseguras, instalar software antivirus para prevenir el malware e implementar un sistema de parches sólido para garantizar que todos los dispositivos se mantengan actualizados. [28]
Hay poca evidencia sobre la efectividad y la relación costo-beneficio de las diferentes medidas de prevención de ciberataques. [26] Aunque la atención a la seguridad puede reducir el riesgo de ataque, lograr una seguridad perfecta para un sistema complejo es imposible, y muchas medidas de seguridad tienen desventajas inaceptables en términos de costo o usabilidad. [29] Por ejemplo, reducir la complejidad y la funcionalidad del sistema es eficaz para reducir la superficie de ataque . [30] Desconectar los sistemas de Internet es una medida verdaderamente efectiva contra los ataques, pero rara vez es factible. [19] En algunas jurisdicciones, existen requisitos legales para protegerse contra los ataques. [31]
La cadena de ataque cibernético es el proceso mediante el cual los perpetradores llevan a cabo ciberataques. [32]
Una vez instalado el malware, su actividad varía mucho según los objetivos del atacante. [38] Muchos atacantes intentan espiar un sistema sin afectarlo. Aunque este tipo de malware puede tener efectos secundarios inesperados , a menudo es muy difícil de detectar. [39] Las botnets son redes de dispositivos comprometidos que se pueden utilizar para enviar spam o llevar a cabo [40] ataques de denegación de servicio , inundando un sistema con demasiadas solicitudes para que el sistema las gestione a la vez, lo que hace que se vuelva inutilizable. [34] Los atacantes también pueden usar computadoras para minar criptomonedas , como Bitcoin , para su propio beneficio. [41]
El ransomware es un software que se utiliza para cifrar o destruir datos; los atacantes exigen un pago para restaurar el sistema atacado. La aparición de criptomonedas que permiten transacciones anónimas ha provocado un aumento drástico de las demandas de ransomware. [42]
El estereotipo de un hacker es el de un individuo que trabaja para sí mismo. Sin embargo, muchas amenazas cibernéticas son equipos de expertos con muchos recursos. [43] "Los crecientes ingresos de los cibercriminales están dando lugar a cada vez más ataques, un aumento del profesionalismo y atacantes altamente especializados. Además, a diferencia de otras formas de delito, el cibercrimen se puede llevar a cabo de forma remota y los ciberataques suelen escalar bien". [44] Muchos ciberataques son provocados o facilitados por personas internas, a menudo empleados que eluden los procedimientos de seguridad para hacer su trabajo de forma más eficiente. [45] Los atacantes varían ampliamente en su habilidad y sofisticación, así como en su determinación de atacar un objetivo en particular, en lugar de elegir de forma oportunista uno fácil de atacar. [45] El nivel de habilidad del atacante determina qué tipos de ataques está dispuesto a montar. [46] Los atacantes más sofisticados pueden persistir sin ser detectados en un sistema reforzado durante un período prolongado de tiempo. [45]
Las motivaciones y los objetivos también difieren. Dependiendo de si la amenaza prevista es espionaje pasivo, manipulación de datos o secuestro activo, pueden necesitarse diferentes métodos de mitigación. [39]
Los proveedores de software y los gobiernos están principalmente interesados en vulnerabilidades no reveladas ( día cero ), [47] mientras que los grupos del crimen organizado están más interesados en kits de explotación listos para usar basados en vulnerabilidades conocidas, [48] [49] que son mucho más baratos. [50] La falta de transparencia en el mercado causa problemas, como que los compradores no puedan garantizar que la vulnerabilidad de día cero no se haya vendido a otra parte. [51] Tanto los compradores como los vendedores se anuncian en la red oscura y utilizan criptomonedas para transacciones no rastreables. [52] [53] Debido a la dificultad de escribir y mantener software que pueda atacar una amplia variedad de sistemas, los delincuentes descubrieron que podían ganar más dinero alquilando sus exploits en lugar de usarlos directamente. [54]
El cibercrimen como servicio, en el que los piratas informáticos venden software preempaquetado que se puede utilizar para provocar un ciberataque, es cada vez más popular como una actividad de menor riesgo y mayor beneficio que el hackeo tradicional. [53] Una forma importante de esto es crear una red de bots de dispositivos comprometidos y alquilarla o venderla a otro cibercriminal. Diferentes redes de bots están equipadas para diferentes tareas, como ataques DDOS o descifrado de contraseñas. [55] También es posible comprar el software utilizado para crear una red de bots [56] y bots que cargan el malware del comprador en los dispositivos de una red de bots. [57] El DDOS como servicio que utiliza redes de bots retenidas bajo el control del vendedor también es común, y puede ser el primer producto de cibercrimen como servicio, y también puede ser cometido mediante la inundación de SMS en la red celular. [58] El malware y el ransomware como servicio han hecho posible que personas sin capacidad técnica lleven a cabo ciberataques. [59]
Los objetivos de los ciberataques van desde individuos hasta corporaciones y entidades gubernamentales. [9] Muchos ciberataques son frustrados o no tienen éxito, pero aquellos que tienen éxito pueden tener consecuencias devastadoras. [19] Comprender los efectos negativos de los ciberataques ayuda a las organizaciones a garantizar que sus estrategias de prevención sean rentables. [26] Un artículo clasifica el daño causado por los ciberataques en varios dominios: [60]
Cada día se roban miles de registros de datos a personas. [9] Según una estimación de 2020, el 55 por ciento de las violaciones de datos fueron causadas por el crimen organizado , el 10 por ciento por administradores de sistemas , el 10 por ciento por usuarios finales como clientes o empleados, y el 10 por ciento por estados o actores afiliados a ellos. [65] Los delincuentes oportunistas pueden causar violaciones de datos, a menudo utilizando malware o ataques de ingeniería social , pero normalmente seguirán adelante si la seguridad es superior a la media. Los delincuentes más organizados tienen más recursos y están más centrados en su objetivo de datos particulares . [66] Ambos venden la información que obtienen para obtener beneficios económicos. [67] Otra fuente de violaciones de datos son los piratas informáticos con motivaciones políticas , por ejemplo Anonymous , que apuntan a objetivos particulares. [68] Los piratas informáticos patrocinados por el Estado apuntan a ciudadanos de su país o entidades extranjeras, con fines tales como represión política y espionaje . [69]
Después de una filtración de datos, los delincuentes ganan dinero vendiendo datos, como nombres de usuario, contraseñas, información de cuentas de fidelización de clientes o redes sociales , números de tarjetas de débito y crédito , [67] e información personal de salud (ver filtración de datos médicos ). [70] Esta información puede usarse para diversos fines, como enviar spam , obtener productos con la información de pago o de fidelidad de la víctima, fraude de medicamentos recetados , fraude de seguros , [71] y, especialmente , robo de identidad . [41] Las pérdidas de los consumidores por una filtración suelen ser una externalidad negativa para el negocio. [72]
La infraestructura crítica es aquella que se considera más esencial (como la atención médica, el suministro de agua, el transporte y los servicios financieros), que cada vez más está gobernada por sistemas ciberfísicos que dependen del acceso a la red para su funcionalidad. [73] [74] Durante años, los escritores han advertido sobre las consecuencias catastróficas de los ciberataques que no se han materializado a partir de 2023. [actualizar][ 75] Estos escenarios extremos aún podrían ocurrir, pero muchos expertos consideran que es poco probable que se puedan superar los desafíos de infligir daños físicos o propagar el terror. [75] Los ciberataques de menor escala, que a veces resultan en la interrupción de servicios esenciales, ocurren regularmente. [76]
Hay poca evidencia empírica de daño económico (como daño a la reputación ) por violaciones, excepto el costo directo [77] para asuntos como esfuerzos de recuperación legales, técnicos y de relaciones públicas. [78] Los estudios que han intentado correlacionar los ciberataques con caídas a corto plazo en los precios de las acciones han encontrado resultados contradictorios, algunos encuentran pérdidas modestas, otros no encuentran ningún efecto y algunos investigadores critican estos estudios por razones metodológicas. El efecto en el precio de las acciones puede variar dependiendo del tipo de ataque. [79] Algunos expertos han argumentado que la evidencia sugiere que no hay suficientes costos directos o daño a la reputación por las violaciones para incentivar suficientemente su prevención. [80] [81]
Los sitios web y servicios gubernamentales se encuentran entre los afectados por ciberataques. [76] Algunos expertos plantean la hipótesis de que los ciberataques debilitan la confianza de la sociedad o la confianza en el gobierno, pero a partir de 2023 [actualizar]esta noción solo tiene evidencia limitada. [75]
Responder rápidamente a los ataques es una forma eficaz de limitar los daños. Es probable que la respuesta requiera una amplia variedad de habilidades, desde investigación técnica hasta relaciones públicas y legales. [82] Debido a la prevalencia de los ciberataques, algunas empresas planifican su respuesta a incidentes antes de que se detecte cualquier ataque y pueden designar un equipo de respuesta a emergencias informáticas para que esté preparado para manejar incidentes. [83] [84]
Muchos ataques nunca son detectados. De aquellos que sí lo son, el tiempo promedio hasta su descubrimiento es de 197 días. [85] Algunos sistemas pueden detectar y marcar anomalías que pueden indicar un ataque, utilizando tecnología como antivirus , firewall o un sistema de detección de intrusiones . Una vez que se sospecha de una actividad sospechosa, los investigadores buscan indicadores de ataque e indicadores de compromiso . [86] El descubrimiento es más rápido y más probable si el ataque apunta a la disponibilidad de la información (por ejemplo, con un ataque de denegación de servicio ) en lugar de la integridad (modificación de datos) o la confidencialidad (copia de datos sin cambiarlos). [87] Es más probable que los actores estatales mantengan el ataque en secreto. Los ataques sofisticados que utilizan exploits valiosos tienen menos probabilidades de ser detectados o anunciados, ya que el perpetrador quiere proteger la utilidad del exploit. [87]
La recolección de evidencia se realiza de manera inmediata, priorizando la evidencia volátil que es probable que se borre rápidamente. [88] La recopilación de datos sobre la infracción puede facilitar litigios o procesos penales posteriores, [89] pero solo si los datos se recopilan de acuerdo con estándares legales y se mantiene la cadena de custodia . [90] [88]
Contener el sistema afectado suele ser una alta prioridad después de un ataque, y puede implementarse mediante el apagado, el aislamiento, el uso de un sistema sandbox para obtener más información sobre el adversario [88], parchear la vulnerabilidad y reconstruir . [91] Una vez que se identifica la forma exacta en que se comprometió el sistema, normalmente solo hay una o dos vulnerabilidades técnicas que deben abordarse para contener la violación y evitar que vuelva a ocurrir. [92] Una prueba de penetración puede verificar que la solución esté funcionando como se esperaba. [93] Si hay malware involucrado, la organización debe investigar y cerrar todos los vectores de infiltración y exfiltración, así como localizar y eliminar todo el malware de sus sistemas. [94] La contención puede comprometer la investigación, y algunas tácticas (como apagar servidores) pueden violar las obligaciones contractuales de la empresa. [95] Una vez que la violación está completamente contenida, la empresa puede trabajar en restaurar todos los sistemas a su estado operativo. [96] Mantener una copia de seguridad y haber probado los procedimientos de respuesta a incidentes se utilizan para mejorar la recuperación. [23]
Atribuir un ciberataque es difícil y de interés limitado para las empresas que son blanco de ciberataques. Por el contrario, los servicios secretos a menudo tienen un interés imperioso en averiguar si un estado está detrás del ataque. [97] A diferencia de los ataques llevados a cabo en persona, determinar la entidad detrás de un ciberataque es difícil. [98] Otro desafío en la atribución de ciberataques es la posibilidad de un ataque de falsa bandera , donde el perpetrador real hace parecer que otra persona causó el ataque. [97] Cada etapa del ataque puede dejar artefactos , como entradas en archivos de registro, que pueden usarse para ayudar a determinar los objetivos y la identidad del atacante. [99] Después de un ataque, los investigadores a menudo comienzan guardando tantos artefactos como puedan encontrar, [100] y luego intentan determinar quién es el atacante. [101] Las agencias de aplicación de la ley pueden investigar incidentes cibernéticos [102] aunque rara vez se atrapa a los piratas informáticos responsables. [103]
La mayoría de los Estados coinciden en que los ciberataques están regulados por las leyes que rigen el uso de la fuerza en el derecho internacional [ 104] y, por lo tanto, es probable que los ciberataques como forma de guerra violen la prohibición de la agresión [105] , por lo que podrían ser procesados como un crimen de agresión [106] . También hay acuerdo en que los ciberataques están regidos por el derecho internacional humanitario [ 104] y, si tienen como objetivo la infraestructura civil, podrían ser procesados como un crimen de guerra , un crimen contra la humanidad o un acto de genocidio [106] . Los tribunales internacionales no pueden hacer cumplir estas leyes sin una atribución sólida del ataque, sin la cual las contramedidas de un estado tampoco son legales [107] .
En muchos países, los ciberataques son perseguibles en virtud de diversas leyes destinadas a combatir los delitos cibernéticos . [108] La atribución del ataque más allá de toda duda razonable al acusado también es un gran desafío en los procedimientos penales. [109] En 2021, los Estados miembros de las Naciones Unidas comenzaron a negociar un proyecto de tratado sobre delitos cibernéticos. [110]
Muchas jurisdicciones tienen leyes de notificación de violaciones de datos que requieren que las organizaciones notifiquen a las personas cuyos datos personales se han visto comprometidos en un ciberataque. [111]